Lỗi bất cẩn trong hàng trăm ứng dụng có thể để lộ Troves

Xem Thêm : Cách điều khiển âm lượng mà không cần nút trên Android

Như với bất kỳ phần mềm, ứng dụng dành cho thiết bị di động có thể tạo ra một loạt các vấn đề bảo mật và phơi nhiễm, từ các chương trình giả mạo có chủ ý độc hại đến các ứng dụng có một lỗ hổng đáng kể nhưng khó hiểu. Giờ đây, nghiên cứu mới đang làm sáng tỏ những cái nhìn mang tính hệ thống trong cơ sở hạ tầng đám mây ứng dụng dành cho thiết bị di động, những thứ đã quá phổ biến và tạo ra nguy cơ dữ liệu của người dùng có thể bị rò rỉ ở những nơi không nên hoặc bị xâm phạm.

Các nhà nghiên cứu từ nhóm Symantec Threat Hunter của Broadcom đã công bố các phát hiện vào thứ Năm về sự phổ biến của thông tin xác thực được mã hóa cứng ẩn náu trong các dịch vụ đám mây làm nền tảng cho hàng trăm ứng dụng chính thống. Các thông tin xác thực đăng nhập này thường nhằm cấp cho ứng dụng quyền truy cập vào một tệp hoặc dịch vụ, giống như cơ chế để ứng dụng hiển thị hình ảnh công khai từ trang web của công ty hoặc chạy văn bản thông qua dịch vụ dịch thuật theo yêu cầu của người dùng. Nhưng trên thực tế, các nhà nghiên cứu nhận thấy, những thông tin đăng nhập tương tự này thường cấp quyền truy cập vào tất cả các tệp được lưu trữ trong dịch vụ đám mây, như dữ liệu công ty, bản sao lưu cơ sở dữ liệu và các thành phần kiểm soát hệ thống. Và khi nhiều ứng dụng được tạo bởi cùng một công ty phát triển bên thứ ba hoặc kết hợp cùng bộ công cụ phát triển phần mềm (SDK) có sẵn công khai, các mã xác thực tĩnh này thậm chí có thể cấp quyền truy cập vào cơ sở hạ tầng và dữ liệu người dùng của nhiều ứng dụng không được kết nối.

Tất cả điều này có nghĩa là nếu kẻ tấn công phát hiện ra những mã thông báo truy cập này, chúng có khả năng mở khóa vô số dữ liệu nhạy cảm khổng lồ và khác nhau bằng cách tìm một chìa khóa dưới một tấm thảm chùi chân.

“Đám mây vẫn là một biên giới mới. Và đôi khi khi bạn nghe về các phương pháp đang được sử dụng, bạn nhận ra rằng nhiều tổ chức có thể không đúng với vị trí của họ với bảo mật trên các mặt trận khác, ”Dick O’Brien của Symantec nói. “Thật khó để nói liệu đó có phải là mọi người đang cắt xén hay đó chỉ là sự thiếu hiểu biết về những gì bạn đang phơi bày bằng cách đưa những thông tin đăng nhập đó ra ngoài đó, nhưng rõ ràng là dữ liệu không được rào chắn ở bất cứ đâu gần như cách nó phải như vậy. “

Các nhà nghiên cứu đã tìm thấy 1.859 ứng dụng công khai trên cả Android và iOS có chứa thông tin đăng nhập Amazon Web Services được mã hóa cứng. Đa số là các ứng dụng iOS, một sự khác biệt Symantec cho biết họ đã theo dõi trong nhiều năm nhưng chưa giải thích đầy đủ. Bằng chứng xác thực có trong hơn 3/4 ứng dụng đã cấp quyền truy cập vào các dịch vụ đám mây riêng tư và gần một nửa trong số đó cũng cấp quyền truy cập vào các tệp riêng tư. Năm mươi ba phần trăm ứng dụng chứa mã thông báo truy cập cũng được tìm thấy trong các ứng dụng khác, thường hoàn toàn không liên quan.

O’Brien nói: “Ban đầu nó rất ngạc nhiên, nhưng đây là một điều mang tính hệ thống. “Mọi người cần phải kiểm tra toàn bộ những gì họ đang sử dụng và nhận ra rằng có nhiều lớp ở đó. Việc thực hiện các khóa truy cập được mã hóa cứng là không tốt. Thông tin đăng nhập tạm thời hết hạn sau một thời gian ngắn có lẽ là cách để đi và cũng cần phải nhận thức rõ hơn rằng bạn cần phải lưu trữ thông tin ”.

Symantec cho biết họ đã thông báo cho các nhà phát triển ứng dụng nơi họ nhận thấy các vấn đề cấp bách nhất và hy vọng sẽ nâng cao nhận thức về cách các phương pháp phát triển không an toàn và tài nguyên được chia sẻ có thể tạo ra sự cố lộ diện mà không cần xem xét và phân đoạn cẩn thận.

Trong một trường hợp, các nhà nghiên cứu nhận ra rằng một số ứng dụng ngân hàng iOS chính thống đều đang sử dụng cùng một bộ phát triển phần mềm nhận dạng kỹ thuật số AI của bên thứ ba để lộ thông tin đăng nhập đám mây của dịch vụ được chia sẻ. Mặc dù không có ứng dụng ngân hàng nào tự tạo SDK, nhưng thông tin xác thực đã tiết lộ cấu trúc máy chủ và bản thiết kế cơ sở hạ tầng, mã nguồn và mô hình AI bên dưới dịch vụ nhận dạng. Và hơn 300.000 tệp dấu vân tay sinh trắc học từ người dùng của năm ứng dụng ngân hàng di động đã bị rò rỉ và có khả năng bị lộ.

Trong một trường hợp khác, các nhà nghiên cứu nhận thấy cái mà họ gọi là một công ty giải trí và khách sạn lớn đang làm việc với một công ty công nghệ về ứng dụng cá cược thể thao. Tổng cộng, thông tin đăng nhập được mã hóa cứng đã cho phép cơ sở hạ tầng truy cập vào 16 ứng dụng cờ bạc trực tuyến, tiết lộ các dịch vụ đám mây của họ và thậm chí cấp quyền truy cập root để kiểm soát nền tảng phụ trợ này.

O’Brien của Symantec nhấn mạnh rằng mặc dù công ty không đặt tên cho các ứng dụng bị ảnh hưởng, nhưng họ hy vọng những phát hiện sẽ nâng cao nhận thức về những cạm bẫy phổ biến này và tác động có thể có của chúng đối với người dùng. “Những điều chúng tôi tìm thấy – nó minh họa tầm quan trọng của những gì chúng tôi đang giải quyết ở đây,” anh nói.